アクシスコミュニケーションズは、サイバーセキュリティ規格ETSI EN 303 645への適合認証を取得しました。この認証は、AXIS OS 11以降を搭載した幅広いAxis製品に有効であり、現在150機種以上のAxis製品および今後発売される新製品に適用されます。AXIS OS は、ほとんどのAxisネットワーク製品に搭載されているLinuxベースのオペレーティングシステムです。この認証は、Underwriters Laboratories (UL TS B.V.)によって発行されたもので、米国にあるULの試験施設で実施されました。今後、Axisはその有効性を維持するため、定期的に試験し、認証を更新していく予定です。
ETSI EN 303 645規格 は、コネクテッドデバイスのサイバーセキュリティ基準を規定する技術要件の68条項を含んでいます。この要件は、セキュアキーストレージのようなハードウェアベースのセキュリティ機能のサポートや、HTTPSの有効化、デフォルトのパスワードがないといったデフォルトのセキュリティ機能など、デバイスそのものを対象としています。もう一つの側面は、デバイスのセキュリティ更新のサポート期間を定めるなど、ライフサイクル管理に関わります。その他、ソフトウェア開発における脆弱性リスクを低減するための方法論を持つこと、透明性のある脆弱性管理方針を持つこと、個人データの処理におけるベストプラクティスをサポートすることなどが含まれます。これらの要件は、業界のベストプラクティスを考慮したものであり、認証製品がライフサイクルを通じて最低限の基準となるセキュリティレベルを有することを保証するものです。
この規格は、独立した非営利の情報通信標準化団体であるEuropean Telecommunications Standards Institute (ETSI)によって策定されています。欧州で開発されたETSI EN 303 645は、世界的な使用に適しており、幅広い適用が可能です。この規格は、他のサイバーセキュリティ関連の規格、認証、法律と密接に連携しており、業界を問わず、また以下の国および地域の規格、認証、法律と密接に連携しています。
- 欧州連合(EUサイバーセキュリティレジリエンス法、EU無線機器指令)
- フィンランド(フィンランドサイバーセキュリティラベル)
- ドイツ(BSI - ITセキュリティラベル)
- 英国(英国製品セキュリティおよび電気通信インフラ法および消費者向けIoTセキュリティのための実施規範)
- 米国(NIST IR 8425、サイバートラストマーク)
- インド(消費者向けモノのインターネットのセキュリティに関するTEC規範)
- ベトナム(モノのインターネットのためのサイバー情報セキュリティ要件)
- シンガポール(サイバーセキュリティラベリングスキーム)
- オーストラリア(実践規範-消費者のためのモノのインターネットの安全確保)
この規格はETSIのウェブサイトにて無料で公開されています。
関連するオープンな規格に基づく第三者認証は、今後制定される法律への適合性を証明するため、あるいはそれを見越して利用することができます。しかし、サイバーセキュリティとは、単なる認証以上のものです。より高いレベルのサイバーセキュリティを達成するためには、標準規格以上のことを行うことが必要です。これは特に、Axisがゼロトラストネットワーキング、バグ報奨金プログラム、サイバーセキュリティに対するデバイスライフサイクルアプローチをサポートしていることで実証されます。
変化の激しいビジネスとセキュリティ主導のイノベーションを抱えるIT業界は、通常、規格や認証が追いつくよりも速いスピードで進歩しています。したがって、規格や認証は、特定の状況において有用となりうる多くの要素の一つと見なす必要があります。チェックボックス目的の認証にのみ焦点を当てることは、必ずしも望ましい顧客価値を提供せず、メーカーの技術革新と進歩の遅れを招く恐れがあります。
